身の丈で固めるサイバーセキュリティ
~お金と手間を最小限にしたセキュリティ対策のススメ~
昨今、コンピュータウイルス感染や情報漏洩といった情報(サイバー)セキュリティに関する問題がメディアなどに大きく取り上げられるようになってきました。現代のビジネスはITに大きく依存しており、それは中小、零細企業といえども例外ではありません。とりわけ、インターネットや最新ITの活用は、これら小規模な企業にとって、大きなビジネスチャンスをもたらします。一方で、ITへの依存度が上がれば上がるほど、システムトラブルやサイバー攻撃等によるビジネスへのリスクは大きくなります。とりわけ、インターネットを利用してビジネスの拡大を図りつつある先進的な企業にとって、こうしたインシデント(事故)は致命的な影響をもたらしかねません。言うまでも無く、ITを活用する企業すべてにとって、情報(サイバー)セキュリティ対策は最重要課題のひとつでしょう。
本題に入る前に、言葉をちょっと整理しておきます。最近、「サイバー」セキュリティという言葉が流行しています。これは、インターネットなど「サイバー空間」を利用する上でのハッキングやコンピュータウイルスなどの侵害に対する耐性をつけることを意味し、IT活用におけるセキュリティとおおむね同義です。一方、従前から使われてきた「情報」セキュリティは、IT、つまりデータや通信の世界だけでなく、そもそもの「情報」をどう守るかという視点からの言葉で、ITに限らず、書類や物理的な記録、設備や施設を含めた、すべての「情報」とその入れ物を対象にします。言い方を変えれば、「サイバー」セキュリティは「情報」セキュリティの一部であると言うことができます。本来であれば、全般的な情報管理を含めた本来の情報セキュリティを確立した上で、「サイバー」を語るべきなのですが、ここでは、まずITにからめた「サイバー」を中心に考え、そこから情報セキュリティ全体に広げていくアプローチをとることにします。
さて、ITにおけるセキュリティと言うと、高価なセキュリティ対策製品やサービスの導入を思い浮かべる方も少なくないと思います。実際、中堅以上の規模の企業の多くが、こうしたソリューションを導入し、運用しています。しかし、その多くが、ベンダやSI事業者任せの導入、運用に留まっていて、多額の費用を必要としたり、思ったような導入効果が得られていなかったりしている現実があります。その原因は、こうしたセキュリティソリューションやベンダそのものにではなく、多くの場合、ユーザ側の理解不足や丸投げ体質にあると考えられるのです。いかに優秀な(もしくは高価な)ソリューションを導入しても、ユーザがその意味を理解し、積極的に使いこなそうとしない限り、これらは十分に機能しません。さらに、ソリューションの導入以前に、ユーザ側が行っておくべき基本的な対策もあります。こうした対策抜きでソリューションを導入しても、多くの「抜け穴」ができてしまうのです。この点が、これまでの「サイバー」セキュリティ対策の最も大きな問題だろうと思います。
一方、小規模なビジネスでは、こうした高価なソリューションやサービスの導入は、なかなか困難です。また、セキュリティの専門知識を持つ人材の確保も困難な現実があります。一方、ITへの依存度は、むしろ高まっているため、リスクは非常に大きくなりがちです。しかし、悲観する必要はありません。少なくともITを使いこなせるのであれば、それに付随するセキュリティ強化は、それほど難しいことではないのです。最近のPC環境は以前に比べセキュリティが大幅に強化されています。それを使いこなす方法さえわかれば、追加のソリューションなしでも大幅にセキュリティの強化が可能です。パスワードの作り方をちょっと工夫するだけで、PCやサーバのサイバー攻撃への耐性を大幅に向上できるでしょう。これらは知識さえあれば、PCの利用者や、それをサポートする技術者の手間と時間を少し融通することで実行することができます。
IT部門を持つ規模の企業なら、IT部門の担当者が自分の担当業務の範疇で最低限何をすればいいかを知ることで、こうしたことが実現できるでしょう。ITを社員個人のスキルに頼っている小さな会社なら、その社員に少し勉強してもらい、少し時間を融通できれば、事足りるはずです。外部の小さなIT会社や個人の技術者に依存している場合は、ちょっと時間がかかりますが、彼らにとってもそうしたスキルを身につけることは、ビジネス上プラスに働くので、そのようなことを発注者である企業側から働きかけていくことが重要です。
最後に、サイバーセキュリティを強化する上で重要になるポイントをいくつか挙げておきます。これらは、基本的に追加費用はほとんどかかりません。また、知識さえあれば作業もそれほど難しくないことばかりです。
①コンピューター(サーバ)や業務システム利用者のID(ログインするユーザ名)を誰かがまとめて管理し、必要に応じて追加、削除を行うこと。とりわけ、不要になったIDを放置しないこと。
②コンピュータ(PCやサーバ等)のパスワード作りのルールを決めておくこと。(少なくとも8文字以上、英数字混在、できれば記号一個以上を含むものとすることを推奨。また、人名、地名やその他類推が可能な語句を使用しないこと。パスワードを忘れないためにメモすることはかまわないが、メモは人目に触れないように管理すること。またパスワードが漏洩した懸念がある場合や、複数人で共有しているパスワードの利用者が変わった場合などは、必ずパスワードを変更すること)
③PCのOS(Windows)のセキュリティ更新を確実に行うため自動更新設定を行うこと。サーバについては、担当者が毎月更新の有無を確認すること。
④PCにはウイルス対策ソフトを導入すること。(マイクロソフトがバンドルしているWindows DefenderやSecurity Essentialなど無償のものでよい)また、自動的に最新バージョンに更新されるよう設定しておく(デフォルト設定を変えない)こと。
⑤ネットワーク上のオンラインサービスを使用する場合は、有償、無償にかかわらず、誰かがサービス約款などを確認し、情報の流用、開示などが生じないことを確認すること。また、パスワードの管理は②に準じて(できればより強固に)行うこと。
⑥業務に使用するソフトウエアは、なるべく共通化し、フリーソフトなどを使用する場合は、実績のあるソフトウエアを必ず正式な配布元からダウンロードして使用すること。
⑦PCやサーバ、オンラインサービス内に格納されている重要な情報(データ)は定期的に調査し、不要なものは削除し、コピーが散逸しないように注意すること。(プリントアウトされた資料等も不要になったらシュレッダー処理など処分することを習慣づけること)
こうした対応は基本的なことばかりですが、これらを徹底することでセキュリティのレベルは大幅に向上します。もちろん、高度なサイバー攻撃を受ける可能性は残りますが、これらの対策が行われた環境に攻撃を仕掛けることは、攻撃者にとってもリスクが高くなるため、よほど重要な情報等がない限りは、攻撃される可能性は大きく低下します。つまり、攻撃者に対しての敷居を高くする効果が十分期待できるのです。また、具体的な設定方法等は、様々な書籍やWebサイトに記載されているものばかりなので、情報収集も難しくありません。また、まとまった情報源として、IPA(情報処理推進機構)が様々な資料を公開していますから参考にできるでしょう。
。
https://www.ipa.go.jp/security/measures/index.html
もちろん、それでも侵害を受けてしまうことはあります。たとえば、ウイルス対策ソフトで検知できない新種のウイルスに感染してしまうようなケースです。こうした場合に、どう対処すればいいかについても、誰かが知っておく必要があります。また、そうした緊急時に相談できる先をあらかじめ用意しておくことも重要ですが、とりわけ小規模な企業にとっては、そのような先がなかなか無いのも現実です。一般に、こうしたアドバイスが得られる専門企業は、大企業を念頭にビジネスをしていることが多く、サービス内容や価格が合わない可能性が高いからです。今後、小規模な企業が複数社共同で専門家に依頼して相談窓口を運用するといった、いわゆるコンソーシアム的な取り組みも必要になるかも知れません。緊急対処だけでなく、日常的なセキュリティ運用についても、こうした共同運用の可能性も検討されるべきでしょう。また、こうした中小企業でITを担当するエンジニアが相互に情報交換できるようなネットワーク作りも不可欠です。これらは、直近の社会的な課題と言えます。
サイバーセキュリティ対策は、まずこうした基本的なことから始めて行きます。そこから先は、身の丈に合わせて、どこまでコストや手間をかけるかを考えていくといいでしょう。
